El dmz ha mort? no exactament

El millor exemple de zona desmilitaritzada (DMZ) és avui una zona de terra fortament vigilada a Corea. És la zona que hi ha a banda i banda del límit entre Corea del Nord i Corea del Sud, que està pensada per evitar que cada nació comenci accidentalment una guerra amb l'altra. En informàtica, un DMZ és similar al concepte, ja que proporciona un lloc que manté el món no confiat d'Internet fora de la xarxa interna de l'organització, tot i que ofereix serveis al món exterior. Durant molt de temps, qualsevol edifici professional de TI gairebé qualsevol tipus de xarxa connectada a Internet va constituir un DMZ com a resultat. Però el núvol ha canviat tot això.

El motiu és que el núvol ha obviat la necessitat que la majoria de les empreses acullin els seus propis servidors web. Ja enrere, si teníeu un servidor web intern que estava obert al públic, voldríeu que aquest servidor visés al vostre DMZ. De la mateixa manera, haureu desitjat allà el vostre servidor de correu electrònic i qualsevol altre servidor orientat a l'exterior, com ara la passarel·la d'accés remot, un servidor d'autenticació, un servidor intermediari o, fins i tot, un servidor Telnet. Aquests són tots els dispositius que han de ser accessibles des d’Internet però que ofereixen serveis de la vostra organització. Avui, per descomptat, la majoria de les empreses utilitzen proveïdors de correu electrònic allotjats juntament amb la implementació d’aplicacions SaaS (Software-as-a-Service), que fan innecessari l’allotjament dels servidors web orientats externament al clos de dades.

Mesures de seguretat addicionals empresarials preses el 2017

Si encara teniu un DMZ en funcionament, trobareu que és un exemple típic de segmentació de xarxa. Mireu de prop i, generalment, trobareu alguna combinació de tallafocs i encaminadors. En la majoria dels casos, la DMZ serà creada per un dispositiu de seguretat de vora (normalment un tallafoc) que després és recolzat per un altre encaminador o tallafoc que custodia les portes a la xarxa interna.

Si bé la majoria d’organitzacions ja no necessiten un DMZ per protegir-se del món exterior, el concepte de separar bons objectes digitals valuosos de la resta de la vostra xarxa continua sent una potent estratègia de seguretat. Si apliqueu el mecanisme DMZ de forma totalment interna, encara hi ha casos d'ús que tingui sentit. Un exemple és protegir l’accés a botigues de dades valuoses, llistes de control d’accés o trobes similars; voldreu que els usuaris no autoritzats puguin saltar amb el major nombre de cèrcols addicionals possibles abans que hi accedeixin.

Com funciona un DMZ

Una DMZ funciona així: Hi haurà un tallafoc de vora que ha d’afrontar els horrors d’internet obert. Després, serà el DMZ i un altre tallafoc que protegeix la xarxa d'àrea local (LAN) de la vostra empresa. Darrere d'aquest tallafoc hi ha la vostra xarxa interna. En afegir aquesta xarxa addicional entre altres, podeu implementar capes de seguretat addicionals que els malcontents hauran de derrotar abans que arribin a la vostra xarxa interna real, on presumiblement tot també està cobert per controls d’accés a la xarxa, sinó també per a suites de protecció de punt final.

Entre el primer tallafoc i el segon, normalment trobaràs un commutador que ofereix una connexió de xarxa als servidors i dispositius que han d'estar disponibles per a Internet. L’interruptor també proporciona una connexió amb el segon tallafoc.

El primer tallafoc s’ha de configurar per permetre només el trànsit que ha d’arribar a la vostra LAN interna i als servidors del DMZ. El tallafoc intern només ha de permetre el trànsit a través de ports específics necessaris per al funcionament de la vostra xarxa interna.

A la DMZ, haureu de configurar els servidors que només acceptin el trànsit en ports específics i que acceptin només protocols específics. Per exemple, voldreu limitar el trànsit del port 80 només a HyperText Transfer Protocol (HTTP). També voldreu configurar aquests servidors de manera que utilitzin només els serveis necessaris perquè funcionin. També és possible que vulgueu tenir un sistema de detecció d’intrusos (IDS) que supervise l’activitat en els servidors de la vostra DMZ de manera que es pugui detectar i aturar un atac de programari maliciós que el faci passar pel tallafoc.

El tallafoc intern ha de ser un tallafoc de nova generació (NGFW) que realitzi inspeccions del trànsit que passi pels ports oberts del tallafoc i que també busqui indicacions d’intrusions o programari maliciós. Aquest és el tallafoc que protegeix les joies de la corona de la vostra xarxa, de manera que no és el lloc per deixar-se perdre. Els fabricants de NGFWs inclouen Barracude, Check Point, Cisco, Fortinet, Juniper i Palo Alto, entre d'altres.

Ports Ethernet com a ports DMZ

Per a les organitzacions més petites, hi ha un altre enfocament menys costós que proporcionarà encara un DMZ. Molts routers domèstics i de petites empreses inclouen una funció que permet designar un dels ports Ethernet com a port DMZ. Això us permet posar un dispositiu com un servidor web en aquell port on pugui compartir la vostra adreça IP, però també estarà disponible per al món exterior. No cal dir que aquest servidor hauria d’estar tan bloquejat com sigui possible i tenir en funcionament només serveis absolutament necessaris. Per extreure el segment, podeu connectar un commutador separat a aquell port i tenir més d’un dispositiu a la versió DMZ.

L’avantatge de l’ús d’aquest port DMZ designat és que només teniu un punt d’error. Tot i que la majoria d’aquests routers també inclouen un tallafoc incrustat, generalment no inclouen el conjunt complet de característiques d’un NGFW. A més, si es trenca l’encaminador, també ho serà la vostra xarxa.

Si bé un DMZ basat en un router funciona, probablement no sigui tan segur com voleu que sigui. Com a mínim, potser voldreu plantejar-vos d’afegir un segon tallafoc al darrere. Això costarà una mica més, però no costarà gairebé el que pugui suposar un incompliment de dades. L’altra conseqüència important amb aquesta configuració és que és més complex d’administrar i, tenint en compte que les empreses més petites que poden utilitzar aquest enfocament normalment no tenen un personal informàtic, potser voldreu contractar un consultor per configurar-lo i després gestionar-lo. de tant en tant.

Un rèquiem per al DMZ

• Els millors serveis de VPN per al 2019 Els millors serveis de VPN per al 2019
• El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019 El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019
• El millor programari de monitorització de xarxa del 2019 El millor programari de monitorització de xarxa per al 2019

Com s'ha esmentat anteriorment, no trobareu massa DMZ en funcionament. El motiu és que la DMZ estava destinada a omplir una funció que actualment s’està gestionant al núvol per a la gran majoria de les funcions empresarials. Totes les aplicacions SaaS que desplegueu i tots els servidors que allotgeu, es mouen la infraestructura orientada a l'exterior fora del centre de dades i al núvol i les DMZ han seguit el viatge. Vol dir que podeu triar un servei en núvol, llançar una instància que inclou un servidor web i protegir aquest servidor amb el tallafoc del proveïdor de núvol i que teniu configurat. No cal afegir un segment de xarxa configurat per separat a la vostra xarxa interna, ja que tot plegat passa en qualsevol altre lloc. A més, les altres funcions que pugueu utilitzar amb un DMZ també estan disponibles al núvol i, seguint així, sereu encara més segur.

Tot i així, com a tàctica general de seguretat, és una mesura totalment viable. La creació d'un segment de xarxa d'estil DMZ al darrere del tallafoc aporta els mateixos avantatges que ho feia quan utilitzaves una concentració entre la vostra xarxa LAN i Internet: un altre segment significa més protecció que pot obligar els dolents a penetrar abans de poder arribar a el que realment volen. I com més han de funcionar, més temps haurà de detectar i reaccionar el sistema de detecció i resposta de les amenaces.